资深网管教你彻底揪出系统启动蛀虫

五、服务也能藏蛀虫：

    一般来说通过上面介绍的注册表和msconfig可以查看到决大多数随系统启动而启动的程序名称，然而病毒和木马以及间谍软件也是不断发展的，目前很多程序都具备了将自身注册为服务的功能，也就是说这些程序以服务的形式进行加载，从而实现随系统启动而启动的目的。

    如何有效的防范这类蛀虫呢？需要网络管理员具备一定的经验，至少要对没有感染病毒和木马以及间谍软件的系统中默认开启的服务要熟悉，不能说精通也要混个脸熟。这样当服务中出现其他面孔时可以在第一时间怀疑并关闭该程序。

    如何查看陌生服务呢？我们有两种方法，一种是注册表法，一种是服务组件法。

     方法一：注册表法

    系统的关键信息都是保存在注册表中的，服务的状态也不例外。我们可以在注册表中找到每个服务对应的启动方式和当前状态。既然如此我们就可以使用注册表文件实现对服务状态的控制了。并且可以在注册表中将我们不熟悉的怀疑的服务删除。

    第一步：通过任务栏的“开始->运行”，输入regedit进入注册表编辑器。

    第二步：找到注册表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，在该键值下的都是服务，例如有一个RemoteRegistry项，这个就是远程注册表服务对应的键值。当然对于其他服务来说也分别对应不同的项。

     第三步：在该键值右边窗口中显示的各个项就是对应的服务状态，其中description是对该服务的描述，desplayname是服务显示的名称，failureactions是服务启动失败采取的操作，start是启动类型。

    小提示：start中启动类型是4代表禁用，2代表自动启动，3代表手动启动。

      第四步：通过上面的键值我们就可以查看当前系统有哪些服务了，遇到陌生的我们可以坚决的将其删除，从而杜绝木马和病毒这些蛀虫隐藏在本机。

     小提示：为了更好的管理服务我们还可以在没有安装什么组件，干干净净的系统下将设置好服务类型的注册表导出，这样在今后快速切换服务状态时就可以通过运行注册表程序来实现了。从而实现快速恢复系统默认服务状态的目的了。

     方法二：服务组件法

    服务组件法操作起来比较简单，图形化的界面更容易得到我们的接收，容易上手。

    第一步：通过打开任务栏的“开始－>控制面板－>管理工具”。
    第二步：双击“服务”图标打开服务设置窗口。
    第三步：在这个服务设置窗口中我们可以查看随本机启动的有哪些服务，以及启动类型等信息。遇到我们不熟悉的服务名称完全可以将其设置为“禁用”。

    小提示：还有两种方法快速进入服务设置窗口，一个是打开任务栏的“开始->运行”。然后在运行文本框中输入services.msc直接打开服务设置窗口。另一个是在桌面“我的电脑”图标上点鼠标右键选择“管理”。在计算机管理窗口中找到“计算机管理（本地）->服务和应用程序->服务”。你会看到在窗口右边出现了当前计算机的所有服务状况，和上面提到的服务设置窗口一模一样。

    总结：其实蛀虫可以存活在操作系统中的很多个角落，上面介绍的方法仅仅是一个普通的最常见的揪出系统启动蛀虫的方法。更多的技巧还需要网络管理员一点点的积累，在实际工作中不断找寻更新更方便的技巧。